原文较长,请移步
http://blog.nsfocus.net/building-trusted-website-based-iaas/
IaaS模式的可信网站云平台
按照云计算思路来设计云安全服务
广东移动借鉴美国建设TIC可信互联网连接通道的思路,将地市分公司的分散出口进行整合关停,通过构建集约化网站保护安全云平台,统一建立强大的双层异构防火墙、网络入侵保护、web应用防火墙和负载均衡设备来组建强大的IaaS资源池,通过创新的反向代理服务和正向访问控制来实现地市各个业务网站的按需接入云服务,同时提供3种IaaS模式的私有云服务来为地市网站提供云服务。
通过提供”地市网站反向代理云安全服务”来进行现有各种地市网站的出口整合并提供安全防护服务。
通过建设”省公司虚拟机租用云安全服务”来为新建业务网站提供虚拟机租用、安全防护等服务。
建设”网站评估监控云服务”,为网站提供系统扫描评估服务,web扫描评估服务,网站平稳度、篡改、挂马、非法内容监控等安全云服务。
可信网站云平台实现
IaaS模式的可信网站云平台在目前的生产环境需求中,按照移动的相关规范,采用了双层异构防火墙、网络入侵防护设备(IPS)、Web应用防火墙以及反向代理设备(带负载均衡功能)为核心安全组件,下挂3个云服务资源池,所有设备均采用双机热备。
IaaS模式的可信网站云平台架构
地市网站反向代理云安全服务
地市网站反向代理云安全服务是可信网站保护云的核心,通过地市网站反向代理资源池来提供反向代理,来实现网络出口的统一,反向代理技术成熟,网络适应好,可以按需提供。由于安全设备集中部署,我们可以开发很多的IaaS基础设施即服务的云安全服务。
云服务目录
序号 | 云服务 | 服务介绍 |
1 | 公网IP租用 | 提供公网IP租用 |
2 | 互联网带宽租用 | 提供带宽管理,qos保障,根据不同需求提供带宽租用。 |
3 | 反向代理服务 | 提供按需的反向代理,用户可以修改DNS公网IP方式快速的将网站切换到可信网站保护云中,切换过程不断网。并隐藏原始IP地址 |
4 | 负载均衡服务 | 提供按需的负载均衡,主要是web服务的负载均衡。 |
5 | 双层防火墙服务 | 提供防火墙服务,部分服务是非web的,可以同防火墙提供细粒度的映射。 |
6 | Web应用防护 | 对于web类业务,提供web应用防护,可以细致的防护sql、跨站等攻击。 |
7 | IPS网络入侵保护服务 | 对于系统层面、网络层面、应用层面攻击,提供IPS网络入侵保护服务。 |
8 | 外部资源接口访问 | 网站需要访问外部接口,如银行接口服务器等,提供细致的访问控制,要求细致到IP、端口和服务。 |
技术实现
地市网站反向代理模式访问
广东移动通过反向代理设备新建地市网站反向代理资源池,关闭全省21个地市分公司的所有web应用系统的独立公网出口,并将地市分公司的web应用系统加入反向代理云,达到全省统一公网出口。外网访问地市分公司业务系统,经过双层异构防火墙、IPS和web应用防火墙的过滤,再由反向代理设备进行代理访问,提高了业务系统的安全,减少了地市分公司服务器的负担。如(图 3.1 IaaS模式的可信网站云平台架构)的序号1。
省公司虚拟机租用云安全服务
“省公司虚拟机租用云安全服务“是为了进一步提升网站整合力度新建的云资源池平台,按照计划,地市后续新建业务网站可以通过申请云服务方式来进行虚拟机租用,存储,数据库的租用,地市可以专注于业务层面的开发,基础设施和安全可以由省公司直接以平台方式提供。
云服务目录
序号 | 云服务 | 服务介绍 |
1 | 虚拟机租用 | 地市用户可以申请虚拟化主机,作为其新建业务的系统的主机,资源可以弹性提供,可以随时进行cpu、内存、硬盘、存储的扩容。 |
2 | Vlan隔离 | 采用虚拟化交换机和网络设备进行应用的隔离,不同业务间可以用vlan或者pvlan隔离。避免不同业务间的攻击。 |
3 | 虚拟化防火墙隔离和控制 | 不同pvlan隔离的业务需要进行交换,可以采用虚拟化防火墙进行控制。做细致的访问控制。 |
4 | 存储租用 | 提供物理存储的虚拟化,用户可以根据需要租用对应的存储资源。 |
5 | 数据库租用 | 云平台提供oracle、DB2等数据库资源,可以虚拟化提供服务。或者以PaaS模式提供服务。 |
6 | 灾备租用 | 如果业务需要灾备,可以租用灾备,将重要数据远程备份到灾备中心。 |
7 | 公网IP租用 | 提供公网IP租用。 |
8 | 互联网带宽租用 | 提供带宽管理,qos保障,根据不同需求提供带宽租用。 |
10 | 负载均衡服务 | 提供按需的负载均衡,主要是web服务的负载均衡。 |
11 | 双层防火墙服务 | 提供防火墙服务,部分服务是非web的,可以同防火墙提供细粒度的映射。 |
12 | Web应用防护 | 对于web类业务,提供web应用防护,可以细致的防护sql注入、跨站脚本等攻击。 |
13 | IPS网络入侵保护服务 | 对于系统层面、网络层面、应用层面攻击,提供IPS网络入侵保护服务。 |
14 | 外部资源接口访问 | 网站需要访问外部接口,如银行接口服务器等,提供细致的访问控制,要求细致到IP、端口和服务。 |
技术实现”省公司虚拟机租用云平台”双向访问
为了满足地市公司业务的要求,广东移动省公司统一新建一套”省公司虚拟机租用云平台”,主要为地市分公司提供Iaas基础设施租赁服务,配备高端服务器、存储、各种类型数据库等资源,地市分公司无需自己新建基础设施,即可短时间内布署业务系统。同时,”省公司虚拟机租用云”和”地市网站反向代理云”可以共享一套双层异构防火墙、IPS网络层防护、WEB应用防护过滤,实现网络3层至7层全面安全防护。可以实现双向访问的安全防护功能,资源池里的业务平台既可以被外网访问(被动访问),也可以从业务平台访问外网系统平台(主动访问),例如银行支付平台。如(图 3.1 IaaS模式的可信网站云平台架构)的序号2。
技术实现虚拟化层实现“东西隔离,南北防护”
为了解决虚拟化技术最重要威胁,虚拟机的逃逸问题,我们采用了多种新的技术手段来进行有效防护,首先,虚拟机全部部署了分布式虚拟化交换机,通过虚拟化交换机来实现不同业务的隔离,隔离的技术主要是采用vlan和pvlan技术,保证每个业务都有单独的vlan或者pvlan。来实现虚拟化层东西隔离。鉴于实际上不同业务之间也有交互访问,对于这部分的访问如pvlan,我们通过部署虚拟机防火墙来实现“南北防护“,对于vlan间的访问,则进行更深入的流量牵引,通过物理防火墙实现防护。总体而言,通过虚拟化防火墙和物理防火墙相结合,通过设定细粒度的访问控制来有效的控制风险。
虚拟化平台的网络防护
请点击这里查看原长文
http://blog.nsfocus.net/building-trusted-website-based-iaas/